Informazioni sui contenuti di sicurezza di watchOS 5.1.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 5.1.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

watchOS 5.1.3

AppleKeyStore

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-6235: Brandon Azad

Core Media

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-6202: Fluoroacetate in collaborazione con Zero Day Initiative di Trend Micro

CoreAnimation

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-6231: Zhuo Liang del Nirvan Team di Qihoo 360

CoreAnimation

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-6230: Proteas, Shrek_wzw e Zhuo Liang del Nirvan Team di Qihoo 360

FaceTime

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di avviare una chiamata FaceTime causando l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-6224: natashenka di Google Project Zero

IOKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-6214: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-6210: Ned Williamson di Google

Kernel

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-6213: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-6209: Brandon Azad di Google Project Zero

Elaborazione del linguaggio naturale

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di un messaggio dannoso può causare una negazione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-6219: Authier Thomas

SQLite

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: una query SQL dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-6227: Qixun Zhao del Vulcan Team di Qihoo 360

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-6216: Fluoroacetate in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-6217: Fluoroacetate in collaborazione con Zero Day Initiative di Trend Micro, Proteas, Shrek_wzw e Zhuo Liang del Nirvan Team di Qihoo 360

CVE-2019-6226: Apple

Altri riconoscimenti

mDNSResponder

Ringraziamo Fatemah Alharbi della University of California, Riverside (UCR) e della Taibah University (TU), Jie Chang di LinkSure Network, Yuchen Zhou della Northeastern University, Feng Qian della University of Minnesota – Twin City, Zhiyun Qian della University of California, Riverside (UCR) e Nael Abu-Ghazaleh della University of California, Riverside (UCR) per l'assistenza.